Eng nei Aart vu Phishing gëtt vu Krimineller benotzt fir Steam Konten ze klauen an ze verkafen. Dëst ass wat Experten e Browser-an-Browser Attack nennen, wat suggeréiert datt e Loginbildschierm als Pop-up erschéngt.
Déi nei Technik gouf scho fréi dëst Joer vun engem Fuerscher mam Pseudonym entdeckt mr d0x. Elo weist eng Enquête vun der Sécherheetsfirma Group IB datt dës Technik benotzt gëtt fir d'Steam Account Umeldungsinformatiounen z'ënnerscheeden. Ähnlech wéi bekannte Phishing-Techniken, gëtt d'Affer op eng gefälschte Websäit, déi vum Hacker ageriicht ass, ëmgeleet. Dat ass och de Fall mat dësen Attacken op Steam Benotzer. Affer ginn op eng Counterstrike Tournoi Websäit gelackert a musse mat hirem Steam Kont aloggen.
Normalerweis weisen de ssl Zertifikat an dacks och d'URL datt et kee legitime Site ass. Mat der Browser-in-Browser Technik ass dëst vill méi schwéier ze gesinn, well dës Phishing-Site JavaScript benotzt fir eng Pop-up Loginfenster ze weisen, déi bal net z'ënnerscheeden vun enger realer Steam Loginfenster.
D'Fënster kann einfach an der oppener Tab geréckelt ginn. Zousätzlech erschéngt d'URL an der gefälschte Fënster och legitim an de grénge Spär fir e korrekt SSL Zertifika gëtt ugewisen. Eréischt wann d'Affer déi éischt Fënster zoumaacht, gëtt kloer datt de Pop-up Bildschierm Deel vun der aktueller Säit ass.
De Moment wou en Affer sech duerch d'falsch Fënster erfollegräich aloggen, hunn d'Krimineller Zougang zum Steam Kont. Fir d'Affer net ze alarméieren, no engem erfollegräiche Login, ginn se op eng Confirmatiounssäit vum Tournoi-Entrée weidergeleet.